假冒 MAS Windows 激活域名被用于传播 PowerShell 恶意软件
HackerNews 编译,转载请注明出处: 攻击者注册了一个与 Microsoft Activation Scripts(MAS)工具极其相似的域名,通过拼写错误诱导用户下载恶意 PowerShell 脚本,进而感染 Windows 系统,植入名为 Cosmali Loader 的加载器。 昨日,Reddit 上多名 MAS 用户发帖称,系统突然弹出警告窗口,提示已感染“Cosmali Loader”: 你因为把 get.activated.win 错打成 get.activate[.]win 而感染了 cosmali loader 恶意软件。 该恶意软件的面板未设权限,任何访问者都能控制你的电脑。 请重装系统,下次别再打错。 想验证是否中毒,打开任务管理器查看可疑 PowerShell 进程即可。 合法 MAS 官方地址为 get.activated.win,攻击者仅去掉一个字母 d,注册相似域名 get.activate[.]win,专等用户手滑输错。 安全研究员 RussianPanda 发现,这些弹窗与开源 Cosmali Loader 有关,其功能包括投递挖矿程序与远程控制木马 XWorm。 目前尚不清楚是谁向受害者推送了“好心警告”,推测有白帽潜入恶意软件控制面板,借其广播功能提醒中招用户。 MAS 是一套托管在 GitHub 的开源 PowerShell 脚本集合,可通过 HWID、KMS 模拟及 Ohook、TSforge 等方式激活 Windows 与 Office。微软将其视为盗版工具,项目方也已发公告提醒用户核对网址、谨慎输入命令。 安全建议 不执行看不懂的远程命令 先在沙箱测试 尽量复制粘贴,避免手打误入钓鱼域 非官方激活器历来常被用来带毒,务必三思 消息来源:bleepingcomputer.com; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
Gamaredon 利用感染的可移动驱动器入侵乌克兰的西方军事任务
HackerNews 编译,转载请注明出处: 与俄罗斯有关联的威胁组织 Gamaredon(又名 Shuckworm)被指对乌克兰境内的一个外国军事任务发动了网络攻击,目的是投放一种名为 GammaSteel 的已知恶意软件的更新版本。 据赛门铁克威胁猎手团队称,该组织针对一个西方国家的军事任务,首次检测到恶意活动的迹象是在 2025 年 2 月 26 日。 赛门铁克在其报告中表示:“攻击者使用的初始感染向量似乎是一个被感染的可移动驱动器。” 攻击从在 Windows 注册表的 UserAssist 键下创建一个值开始,随后通过 “explorer.exe” 启动 “mshta.exe”,以启动一个多阶段感染链并运行两个文件。 第一个文件名为 “NTUSER.DAT.TMContainer00000000000000000001.regtrans-ms”,用于与命令与控制(C2)服务器建立通信。该服务器通过访问与合法服务(如 Teletype、Telegram 和 Telegraph 等)相关的特定 URL 来获取。 第二个文件名为 “NTUSER.DAT.TMContainer00000000000000000002.regtrans-ms”,设计用于通过创建每个文件夹的快捷方式文件来感染任何可移动驱动器和网络驱动器,以执行恶意的 “mshta.exe” 命令并隐藏它。 随后在 2025 年 3 月 1 日,脚本被执行以联系 C2 服务器,窃取系统元数据,并接收一个 Base64 编码的负载,该负载随后用于运行一个设计用于下载混淆后的新版本脚本的 PowerShell 命令。 该脚本连接到一个硬编码的 C2 服务器以获取另外两个 PowerShell 脚本。第一个脚本是一个侦察工具,能够截取屏幕截图、运行 systeminfo 命令、获取主机上运行的安全软件的详细信息、枚举桌面中的文件和文件夹,并列出正在运行的进程。 第二个 PowerShell 脚本是 GammaSteel 的改进版本,这是一种已知的信息窃取工具,能够根据桌面和文档文件夹中的扩展名白名单从受害者的设备中窃取文件。 “这次攻击标志着 Shuckworm 在复杂性上有所提升,尽管它看起来比其他俄罗斯组织的技术能力稍逊一筹,但它通过不懈地专注于乌克兰的目标来弥补这一点,”赛门铁克表示。 “尽管该组织似乎没有像一些其他俄罗斯组织那样的技术能力,但 Shuckworm 现在似乎正在通过不断对其使用的代码进行小幅度修改、添加混淆以及利用合法的网络服务来尝试降低被发现的风险。” 消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
中美超过4,000个ISP IP地址遭暴力破解攻击,黑客植入恶意软件
HackerNews 编译,转载请注明出处: 中国及美国西海岸的互联网服务提供商(ISP)近期遭遇大规模网络攻击,黑客通过入侵受害系统,植入信息窃取程序和加密货币挖矿软件。 据Splunk威胁研究团队报告,此次攻击还涉及多个二进制程序,这些程序不仅可用于窃取数据,还能帮助攻击者在受感染系统中建立长期控制权限。 黑客利用脚本语言绕过安全防护 Cisco旗下的Splunk研究团队表示,攻击者在操作过程中尽量减少入侵痕迹,以规避检测,除非受害账户已经遭到控制。“该攻击组织主要依赖Python和PowerShell等脚本语言进行横向移动与渗透,并使用API(如Telegram)执行远程控制(C2)操作。” 此次攻击活动主要利用暴力破解手段,针对弱密码账户进行入侵。攻击源IP地址主要来自东欧,受害目标包括超过4,000个ISP提供商的IP地址。 攻击流程:入侵、窃取信息、植入挖矿程序 攻击者在获取初始访问权限后,会通过PowerShell执行一系列恶意程序,包括网络扫描、信息窃取以及XMRig加密货币挖矿,以滥用受害设备的计算资源。 在执行恶意程序之前,攻击者通常会先关闭安全软件功能,并终止与挖矿检测相关的服务,以降低被发现的风险。 信息窃取与恶意软件投放 除了截屏功能,该恶意软件还具备类似“剪贴板劫持”程序的特性,可监控受害者的剪贴板内容,专门窃取比特币(BTC)、以太坊(ETH)、币安链BEP2(ETHBEP2)、莱特币(LTC)和波场(TRX)等加密货币钱包地址。窃取的数据随后被上传至黑客控制的Telegram机器人。 此外,受感染设备还会被植入一个二进制文件,用于执行额外的恶意负载,其中包括: Auto.exe:从C2服务器下载密码列表(pass.txt)和IP地址列表(ip.txt),用于后续暴力破解攻击 Masscan.exe:多功能端口扫描工具 大规模IP扫描,精准锁定目标 Splunk研究团队指出,攻击者专门针对美国西海岸及中国的ISP基础设施IP地址,并利用Masscan扫描工具批量扫描大量IP地址,以发现开放端口,并进一步实施凭证暴力破解攻击。 消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
黑客通过 SharePoint 站点部署基于 PowerShell 的 Havoc C2
HackerNews 编译,转载请注明出处: 网络安全研究人员近日指出,一种新的网络钓鱼活动正在利用 ClickFix 技巧来传递一个名为 Havoc 的开源命令与控制(C2)框架。 “威胁行为者将每个恶意软件阶段隐藏在 SharePoint 站点之后,并使用修改版的 Havoc Demon 与 Microsoft Graph API 结合,以在受信任的知名服务中隐藏 C2 通信,”Fortinet ForEGuard Labs 在一份与《黑客新闻》共享的技术报告中表示。 此次攻击的起点是一封包含 HTML 附件(“Documents.html”)的网络钓鱼邮件,当用户打开该附件时,会显示一条错误消息,该消息利用 ClickFix 技巧诱骗用户将恶意 PowerShell 命令复制并粘贴到终端或 PowerShell 中执行,从而触发下一阶段的攻击。 该命令旨在下载并执行托管在攻击者控制的 SharePoint 服务器上的 PowerShell 脚本。新下载的 PowerShell 会检查其是否在沙盒环境中运行,然后才会继续下载 Python 解释器(“pythonw.exe”),如果系统中尚未存在该解释器的话。 通过 SharePoint 站点部署 Havoc C2 接下来的步骤是从同一个 SharePoint 位置获取并执行一个 Python 脚本,该脚本作为 KaynLdr 的 shellcode 加载器,KaynLdr 是一个用 C 和 ASM 编写的反射加载器,能够启动嵌入的 DLL,即在此情况下在受感染主机上启动 Havoc Demon 代理。 “威胁行为者使用 Havoc 与 Microsoft Graph API 结合,以在知名服务中隐藏 C2 通信,”Fortinet 表示,并补充说该框架支持收集信息、执行文件操作、命令和有效载荷执行、令牌操作以及 Kerberos 攻击等功能。 与此同时,Malwarebytes 揭示了威胁行为者继续利用 Google Ads 政策中的已知漏洞,通过可能已被攻陷的广告商账户投放针对 PayPal 客户的虚假广告。 这些广告旨在诱骗那些搜索与账户问题或支付问题相关的帮助的受害者拨打一个欺诈电话,最终可能导致他们交出个人和财务信息。 “Google 登陆页面(也称为最终 URL)政策中的一个弱点,允许任何人只要登陆页面和显示 URL(广告中显示的网页)属于同一域名,就可以冒充热门网站,”Malwarebytes 研究高级总监 Jérôme Segura 说道。 “黑客们就像秃鹫一样,盘旋在最热门的 Google 搜索词之上,尤其是在涉及任何在线帮助或客户服务时。” 消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
Powershell 命令行泄漏下一个 Windows 10 更新内容
Windows 10 下一个版本(称为Build 1903或19H1)更新内容,可以通过 PowerShell 的 Get-VMHostSupportedVersion 可以看到。Tero Alhonen 被称为 Windows 侦探(Windows sleuth),他通常会在微软发布新版本之前查找 Windows 的相关信息,他在最新版本的 Windows 10 Insider Build 19H1 版本中使用了 Get-VMHostSupportedVersion 命令,该命令的返回结果很有可能是下一次版本更新的名称。 访问: 微软中国官方商城 – Windows 返回的名称为“Microsoft Windows 10 April 2019 Update/Server 1903”,如下所示。 PowerShell 命令 Get-VMHostSupportedVersion 用于列出主机上支持的所有 Hyper-V 虚拟机配置信息。此命令列出了所有早期版本的 Windows 10,最新版本为“October 2018 Update build 1809”。 此外,该命令也会列出即将发布的 Windows 系统版本,例如在上图中的 April 2019 Update 1903 。 关于即将发布的 Build 1903 ,主要更新将包括以下更新: Windows 沙盒 改进的 Windows 安全功能(如篡改保护) 拆分搜索(splitting of Search)和Cortana 存储保留(Reserved Storage)。 稿源:开源中国,封面源自网络;
微软 PowerShell 成为黑客恶意软件传播工具
微软为 Windows 10 推出的 PowerShell 是一个非常强大的工具,但是网络犯罪分子也越来越多地使用它来传播恶意软件。安全公司赛门铁克分析了恶意 PowerShell 脚本,并表示这种威胁的数量正在快速上升,特别是在 shel l框架被企业更广泛使用的情况下。赛门铁克表示,包括 Office 宏在内,大多数恶意 PowerShell 脚本被用作下载恶意软件的工具,最终目标是在目标电脑上执行代码,然后在整个网络中传播恶意软件。 根据赛门铁克表示,目前有三个常见的恶意软件系列正在使用 PowerShell 脚本,分别是 W97M.Downloader(在分析样本当中占比9.4%),Trojan.Kotver(占比4.5%)和 JS.Downloader(占比4.0%)。在过去六个月中,赛门铁克每天平均拦截了 466028 封含有恶意 JavaScript 的电子邮件,而且这种趋势在增长。 网络犯罪分子还创建了更复杂的 PowerShell 脚本,它们分阶段工作,因此它们实际上链接到最终会部署恶意软件的不同脚本,而不是直接危及目标电脑。防止此类威胁的最佳方法是运行完全最新的安全软件以及最新版本的 PowerShell 。此外,由于大多数脚本通过电子邮件传递,因此请避免打开来自不受信任来源的脚本、文件或链接。 稿源:cnbeta.com 有删改,封面:百度搜索